CVE-2024-12035

Nome do Software Vulnerável e Versões Afetadas Plugin CS Framework para WordPress versões até e incluindo a 6.9

Descrição O problema surge devido à validação insuficiente de caminho de arquivo na função cs widget file delete(), permitindo que atacantes autenticados com acesso de nível de Assinante ou superior excluam arquivos arbitrários no servidor. Isso pode potencialmente levar à execução remota de código se arquivos críticos, como wp-config.php, forem excluídos.

Recomendações Para o plugin CS Framework para WordPress versões até e incluindo a 6.9, atualize para uma versão superior a 6.9 para resolver o problema. Como solução temporária, considere restringir o acesso à função cs widget file delete() para prevenir a exclusão não autorizada de arquivos.